Direction scientifique
Transfert de connaissances vers l'industrie

Nos Thèses par thème

Injection de fautes et Intégrité des réseaux de neurones embarqués : attaques, protections, évaluation

+++++

Département Systèmes (LETI)

Laboratoire Sécurité des Objets et des Systèmes Physiques

01-02-2021

SL-DRT-21-0159

pierre-alain.moellic@cea.fr

Data intelligence dont Intelligence Artificielle (.pdf)

Une des tendances majeures de l?Intelligence Artificielle aujourd?hui est le déploiement massif des systèmes de Machine Learning sur une multitude de plateformes embarquées. La majorité des fabricants de semi-conducteurs proposent des produits « compatibles A.I. », principalement pour des réseaux de neurones pour de l?inférence. La sécurité est un des grands freins au déploiement de ces systèmes. De nombreux travaux soulèvent des menaces aux impacts désastreux pour leur développement, comme les « adversarial examples » ou le « membership inference ». Ces travaux considèrent les algorithmes de ML selon un point de vue purement algorithmique sans prendre en considérations les particularités de leur implémentation matérielle. De plus, des études plus poussées sont indispensables sur les attaques physiques (side-channel et injection de fautes). En considérant une surface d?attaque regroupant les aspects algorithmiques et matériels, la thèse propose d?analyser des menaces de type Fault Injection Analysis (FIA) ciblant l?intégrité des modèles (tromper une prédiction) des systèmes EML et le développement de protections efficaces. Quelques travaux s?intéressent aux attaques physiques contre des réseaux de neurones embarqués mais avec des architectures très simples sur des microcontrôleurs 8-bit, ou FPGA ou en pure simulation. Ces travaux ne proposent pas encore des liens entre les modèles de fautes ou les fuites mises en évidence et les failles algorithmiques. En se basant sur l?expérience d?autres systèmes critiques (e.g., module cryptographique), la philosophie de la thèse sera de considérer conjointement le monde algorithmique et le monde physique pour mieux appréhender la complexité des menaces et développer des protections appropriées. La thèse s?intéressera aux questions scientifiques suivantes : (1) Caractérisation et exploitation de modèles de fautes : comment exploiter des disfonctionnements par injections de fautes (laser, EM ou glitch) pour tromper la prédiction d?un modèle de type réseau de neurones profond en minimisant la perturbation. (2) Evaluation des mécanismes de protections classiques : quel est la pertinence et l?efficacité des schémas de défenses classiques (e.g. mécanismes de redondances) pour ce type de systèmes et de menaces ? (3) Développement de nouvelles protections appropriées aux réseaux de neurones embarqués.

T?charger l'offre (.zip)

Voir toutes nos offres